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BUNDESREPUBLIK DEUTSCHLAND 



REC'D 2 6 JUN 1337 




Die Deutsche Telekom AG in Bonn/Deutschland hat eine Patentan- 
meldung unter der Bezeichnung 

"Verfahren und Vorrichtung zum Laden von Input - 
da ten in einen Algorithmus bei der Authentica- 
tion" 

am 5. Juni 1996 be.im Deutschen Patentamt eingereicht. 

Das angeheftete Stuck ist eine richtige und genaue Wieder- 
gabe der urspriinglichen Unterlage dieser Patentanmeldung . 

Die Anmeldung hat im Deutschen Patentamt vorlaufig die Sym- 
bole G 07 F und G 06 F der Internationalen Patentklassif ika- 
tion erhalten. 



Munchen, den 25* Februar 1997 
Der Prasident des Deutschen Patentamts 
Im Auftrag 
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Verfahren und Vorrichtung zum Laden von Inputdaten in einen 
Algorithmus bei der Authentikation 

( 14 ) Paten tanspruche : 

1. Verfahren zum Laden von Inputdaten in einen Algorithmus 
bei der Authentikation zwischen Chipkarten mit Borsen- 
funktion und einem Sicherhei tsmodul , bei dem der Kar- 
tennutzer iiber ein gespeichertes Guthaben verfugen kann 
und bei dem bei jedem Kassiervorgang der er f orderliche , 
bzw. der vom Kartennutzer eingegebene Geldbetrag aus 
der Chipkarte des Kartennut zers mit Hilfe einer Sicher- 
hei tsfunktion abgebucht und die Geldbetrage in einem 
Summenzahler ftir Geldbetrage des Sicherhei tsmoduls 
aufaddiert und gespeichert werden, und bei dem fur den 
Authentikat ions algorithmus ein linear riickgekoppeltes 
Schieberegister verwendet wird, dessen nichtlineare 
Funktionen in Verbindung mit nachgeschal teten Zahlern 
kryptograf isch verstarkt wird, und bei dem Inputdaten, 
wie z. B. eine Zufallszahl, ein geheimer SchlOssel und 
nicht geheime Kartendaten, in diesen Algorithmus 
eingehen, dadurch gekennzeichnet, 
daft die Inputdaten in mehrere Blocke von Daten aufge- 
teilt werden und da/5 wahrend des Ladens der Blocke in 
das linear ruckgekoppelte Schieberegister eine zusatz- 
liche weitere Ruckkopplung nach den nachgeschalteten 
Zahler in das Schieberegister eingefiihrt und nach einer 
vorgegebenen Anzahl von Taktschr i tten abgeschaltet 
wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daft 
die Kartendaten D mit einem geheimen SchlUssel K als 
ein erster Block und eine Zufallszahl R als ein weite- 
rer Block eingefiihrt werden. 



Verfahren nach Anspruch 1 und 2, dadurch gekennzeich- 
net, daft wahrend der Ladephase der Inputdaten andere 
Zahlerstande eingesetzt werden, als bei der darauf- 
folgenden Phase nach Einladen der Inputdaten zur 
Berechnung des Authentikations tokens . 

Verfahren nach Anspruch 1 und 2, dadurch gekennzeich- 
net, daft der erste nachgeschal tete Zahler auf 1 zahlt. 

Verfahren nach Anspruch 1 und 2, dadurch gekennzeich- 
net, daft die Zahler und die Anzahl der auszuf uhrenden 
Takte genau so gewahlt werden, daft das Authentika- 
tionstoken nach einer durch andere Syst embedingungen 
fest vorgegebenen Anzahl von Takten errechnet wird. ~ 

Verfahren nach einem der Anspruche 1 bis 5, dadurch .. 
gekennzeichnet, daft die Ausgabe von Bits nach Einladen 
aller Inputdaten beginnt. 

Verfahren nach einem der Anspruche 1 bis 6, dadurch 
gekennzeichnet, daft zwischen dem Einladen der Blocke:. 
aus Anspruch 1 unter Beibehaltung der zusatzlichen 
Ruckkopplung die gesamte Schaltung einige Schritte 
weiter getaktet wird, ohne daft Inputdaten geladen 
werden und bevor Bits ausgegeben werden. 

Verfahren nach einem der Anspruche 1 bis 6, dadurch 
gekennzeichnet, daft zwischen dem Einladen der Blocke 
aus Anspruch 1 nach Abschalten der zusatzlichen Ruck- 
kopplung die gesamte Schaltung eine bestimmte Anzahl 
von Schritten weiter getaktet wird, ohne daft Inputdaten 
geladen werden und bevor Bits ausgegeben werden. 

Vorrichtung zum Laden von Inputdaten in einen Algo- 
rithmus bei der Authent i kation unter Verwendung einer 
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kryptograf ischen MAC Function, bestehend aus einem 
linear riickgekoppel ten Schieberegis ter mit einer 
nichtlinearen "Feed Forward" Funktion, die aus dem 
Schieberegister abgreift und uber einen Zahler den 
5 Output des Schieberegisters beeinfluftt, dem ein weite- 

rer Zahler nachgeschal tet ist, dadurch g e - 
kennzeichnet, daft die aus dem linear rtick- 
gekoppelten Schieberegister aufgebaute Schaltung mit 
nachgeschal teten Zahlern zur Verwendung ftir den 
10 Authentikationsalgorithmus durch eine zusatzliche 

abschaltbare nichtlineare Rue kkopp lung kryptograf isch 
verstarkt ist. 



1 0 . Vorrichtung nach Anspruch 9 , dadurch gekennzeichnet, 
15 daft die zusatzliche Ruckkopplung nach dem ersten nach- 

geschalteten Zahler vor dem Latch abgegriffen ist. 

1 1 . Vorrichtung nach Anspruch 9 , dadurch gekennzeichnet, 
daft die zusatzliche Ruckkopplung aus dem Latch nach dem 

20 ersten nachgeschal teten Zahler abgegriffen ist. 

12 . Vorrichtung nach Anspruch 9 , dadurch gekennzeichnet, 
daft die zusatzliche Ruckkopplung nach dem zweiten 
nachgeschal teten Zahler abgegriffen ist. 

25 

13 . Vorrichtung nach Anspruch 9 , dadurch gekennzeichnet, 
daft die zusatzliche Ruckkopplung als eine XOR-Summe der 
Abgriffe nach dem ersten nachgeschal teten Zahler vor 
dem Latch, aus dem Latch nach dem ersten nachgeschal te- 

30 ten Zahler und nach dem zweiten nachgeschalteten Zahler 

ausgebildet ist. 

14 . Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, 
daft die Zahler aufgeteilt bzw. verkleinert sind. 
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Verfahren und Vorrichtung zum Laden von Inputdaten in einen 
Algorithmus bei der Authentication 

5 

Beschreibung : 

Die Erfindung bezieht sich auf ein Verfahren, wie im Ober- 
begriff des Patentanspruch 1 naher beschrieben und auf eine 

10 Vorrichtung der im Oberbegriff des Patentanspruch 9 defi- 
nierten Art. Verschiedene bekannte Verfahren dieser Art 
werden fiir Chipkarten mit Borsenf unktion in mehreren Vari- 
anten verwendet und bei den Vorrichtungen kann u. a. von 
Chipschal tungen entsprechend EP 0 616 429 Al ausgegangen 

15 werden. 

Verfahren der hier gemeinten Art sind z. B. aus ETSI 
D/EN/TE 090114, Terminal Equipment (TE) Requirements for IC 
cards and terminals for telecommunication use, Part 4 - 
20 Payment methods Version 4 v. 07. Febr . 1992 und aus der 
Europaischen Patentanmeldung 0 605 070 bekannt. 

Neben Telef onkarten mit definiertem Anf angsguthaben als 
Zahlungsmittel fiir Kartentelef one sind auch "elektronische 

25 Geldborsen" nach dem gleichen Prinzip als Zahlungsmittel 
fiir begrenzte Betrage von zunehmender Bedeutung. Fur den 
Anwendungsf all "Bezahlen mit der Chipkarte" ist ein 
entsprechendes Kartenlesermodul mit einem Sicherhei tsmodul 
SM zur Karten- und Guthabenpriif ung in den Automaten 

30 gekoppelt. 

Aus der EP 0 605 070 A2 ist auch ein Verfahren zum Transfe- 
rieren von Buchgeldbetragen auf und von Chipkarten bekannt, 
bei dem uberschreibbare Speicherplat ze einer Chipkarte auf- 
35 geteilt werden in wenigstens zwei Speicherplat ze, von denen 
einer als "debitorisch" , also "elektronische Geldborse" ge- 
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nutzt wird, so wie die Telef onkar ten, und der andere "kre- 
ditorisch" im Sinne einer Kreditkarte. Unter den fur Kre- 
ditkarten ublichen gesicherten Bedingungen ist es vorgese- 
hen, Geldbetrage zwischen den Bereichen zu t rans f er ieren, 
urn die "elektronische Geldborse" wieder aufzufullen. 



Zur Vermeidung sowohl der Gefahren unbefugter Zugriffe auf 
die Kassenautomaten und deren fest im Gerat integrierte 
Sicherheitsmodule, als auch der Notwendigkei t von besonders 

10 geschutzten und deshalb fur den Betreiber teuren Standlei- 
tungen wurde mit (P95114) ein Verfahren vorgeschlagen, bei 
dem vom Betreiber des Kassenautomaten vor den Kassiervor- 
gangen ein Sicherhei tsmodul mit Chipkartenf unkt ionen in die 
Kassenautomaten eingesteckt wird und bei jedem .Kassiervor- 

15 gang, bei dem ein Kartennutzer seine Chipkarte mit Borsen- 
funktion in einen Kassenautomaten eingesteckt hat, zuerst 
Datenbereiche der Chipkarte fur eine Plausibili tatskontrol- 
le und die Priifung des Res tguthabens ausgelesen, danach 
eine Authentif ikation mit dem Sicherhei tsmodul und eine 

20 ein-/mehrmalige Akzeptanzentscheidung durchgefiihrt werden 

und bei dem zuletzt der fallige bzw. eingegebene Geldbetrag 
aus der Chipkarte des Kartennut zers mit Hilfe einer Sicher- 
hei tsfunktion ab- und einem Summenzahler fur Geldbetrage im 
Sicherheitsmodul aufgebucht werden und bei dem nach den 

25 Kassiervorgangen der Zahlerstand des Sicherhei tsmoduls mit 
Chipkartenfunktionen an eine Abrechnungs zentrale ubergeben 
wird. 

Aufgabe der Erfindung ist es, die Sicherheit der Kassenau- 
30 tomaten fur die "elektronischen Geldborsen" gegenuber 

Manipulationen und Fehlf unktionen noch weiter zu erhohen. 
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Diese Aufgabe lost ein Verfahren entsprechend dem Kennzei- 
chen des Patentanspruchs 1 . 



Vorteilhafte Aus- bzw. Wei terbildungsmoglichkei ten dieses 
Verfahrens sind in den Kennzeichen der Unteransprliche 2 bis 
8 aufgefuhrt. 



Im Kennzeichen des Patentanspruchs 9 ist eine fur die 
Anwendung des erwahnten Verfahrens geeignete Vorrichtung 
beschrieben . 

Die Kennzeichen der Unteransprliche 10 bis 14 nennen vor- 
teilhafte Aus- bzw. Wei terbildungsmoglichkeiten dieser 
Vorrichtungen fur verschiedene Anwendungen . 

Die Erfindung ist mit ihren Wirkungen, Vorteilen und Anwen- 
dungsmoglichkeiten in den nachf olgenden Ausf iihrungsbeispie- 
len naher beschrieben. 

Authentikationsalgorithmen werden i. A. zur sicheren Iden- 
tifizierung verwendet. In Authenti kationsver f ahren gehen, 
neben der Identitat von Chipkarten und Personen sowie evtl. 
eines Sicherheitsmoduls SM, oft noch weitere Daten ein, 
deren Korrektheit zusatzlich gesichert werden soil. Ein 
Authentikationsverf ahren kann zum Beispiel auch auf nicht 
geheime Kartendaten D zusammen mit einem geheimen SchlUssel 
K und einer Zufallszahl Z angewendet werden. Bei den Chip- 
karten mit Borsenfunktion wird fiir die Ab- und Aufbuchungen 
sicherheitshalber je eine getrennte Sicherhei tsf unktion 
verwendet, die jeweils mit einer kryptograf ischen Prufsumine 
ausgelesen wird. 

Mit dem Verfahren nach der Erfindung konnen die Ab- und 
Aufbuchungen mit einem kryptograf ischen Token durchgefuhrt 
werden, wobei vorausgeset zt wird, dafl die Authent ikat ion 
und die kryptograf ische Prufsumme uber den Zahlerstand mit 
einem Challenge/Response-Verf ahren durchgefuhrt werden. 
Dann kann durch ein einzelnes Challenge/Response-Verf ahren, 
bei dem nur eine Zufallszahl von dem Sicherhei tsmodul SM 
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geliefert wird und von der Chipkarte nur eine Response 
berechnet wird, sowohl die Identitat (Authent i kat ion) ais 
auch der interne Zahlerstand gegenuber dem Sicherhei tsmodul 
SM bewiesen werden. 

5 

Dies kann dadurch erreicht werden, dafi die variablen In- 
putdaten, wie der Zahlerstand und die Zufallszahl, intern 
jeweils zunachst mit "keyed Hashf unctions" = MAC Funktionen 
bearbeitet werden. Dabei wird als Schliissel der kartenindi- 

10 viduelle geheime Schliissel der Chipkarte verwendet. Die 
beiden aus Zahlerstand und Zufallszahl gewonnenen Token 
konnen dann in -moglicherweise kryptograf isch unsicherer 
Art - z. B. durch XOR oder ein linear rtickgekoppeltes 
Schieberegister miteinander verkniipft werden und hiernach 

15 mit einer kryptograf ischen Funktion ausreichender Starke 
integr i tats ges chut zt ausgegeben werden . 

Diese Ver f ahrensweise ist fur die Praxis dadurch interes- 
sant, daft die nur intern verwendeten keyed Hashf unctions 
20 keinen besonders hohen Anspriichen hinsichtlich ihrer Si- 
cherheit geniigen mussen und relativ einfache Funktionen 
anwendbar sind, weil die Ergebnisse dieser Funktionen nicht 
aus der Chipkarte nach auften gefuhrt werden. Dennoch werden 
damit Datenmanipulationen wirksam verhindert. 



Das Ausf uhrungsbeispiel der Erfindung geht von einem linear 
rlickgekoppelten Schieberegister LFSR mit zusatzlicher 
nichtlinearer Funktion und nachgeschalteten Zahlern aus: 

30 0. Zusatzliche Ruckkopplungen nach den nachgeschalteten 
Zahlern in das linear ruckgekoppel te Schieberegister 
LFSR werden geschaltet. 
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1. Es werden Inputdaten, bestehend aus den nicht geheimen 
Kartendaten D und dem geheimen Schliissel K, in das 
linear ruckgekoppel ten Schieberegister LFSR eingelesen, 



wahrend sowohl die Ruckkopplung des linear 
rtickgekoppel ten Schieberegis ters LFSR, als auch die 
zusatzliche (n) Ruckkopplung ( en) aktiv sind. 

Es wird eine gewisse Anzahl von Takten wei tergeschaltet , 
ohne daii zusatzliche Inputdaten eingelesen werden. 

Es werden Inputdaten, bestehend aus der Zufallszahl R, 
eingelesen, wahrend sowohl die Ruckkopplung des LFSR, 
als auch die zusatzliche Ruckkopplung ( en) aktiv sind. 

Es werden die zusatzlichen Ruckkopplungen ausgeschal tet 
und ggf. die Zahler geandert. 

Es wird eine gewisse Anzahl von Takten weitergeschaltet 
und wahrend dieser Takte gemafl der aktuellen Zahler- 
stande Outputbits erzeugt. 
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1. Verfahren und Vorrichtung zum Laden von Inputdaten in 
einen Algori thmus bei der Authentication 

5 

2 . Zusammenf assung : 

2.1. Die Problemat ik der Datensicherhei t beim Zahlungs- 
verkehr mit Hilfe von Chipkarten liegt in den Vorgangen 

10 beim Laden von Inputdaten in einen Algori thmus bei der 
Authentikat ion begriindet . 

2.2. Mit Hilfe einer Aufteilung der Datenblocke und der 
Ein- und Ausschaltung einer zusatzlichen Ruckkopplung nach 

15 den nachgeschal teten Zahlern zu vorgewahlten Zei ten (Takten) 
wird die Sicherheit der Ab- und Auf buchungs-Daten 
verbessert. 

2.3. Die Anwendung der Erfindung ist bei alien Authentika- 
20 tionsvorgangen in Verbindung mit Chipkarten moglich. 



